Microsoft Azure で Cisco Spark シングルサインオンする

Document created by Cisco Localization Team on Feb 4, 2017
Version 1Show Document
  • View in full screen mode
 

シングルサインオンおよび Cisco Spark の概要

シングルサインオン (SSO) は、1 つまたは複数のアプリケーションにアクセスするための証明書の提出をユーザーに許可するセッションないしはユーザー認証プロセスです。 このプロセスは、権限を与えられたすべてのアプリケーションに対してユーザーを認証します。 このプロセスは、ユーザーが特定のセッション中にアプリケーションをスイッチする際、以降のプロンプトを除去します。

Security Assertion Markup Language (SAML 2.0) フェデレーションプロトコルは、Cisco Collaboration Cloud プラットフォームとお使いのID プロバイダ (IdP) の間の SSO 認証を提供するために使用されます。

 

SAML 2.0 はユーザー認証の安全なハンドリング、ユーザー属性の共有およびドメイン全体に渡るパートナー間のユーザー認証に向けた業界プロトコルです。

 

SSO 能力の詳細については、この記事を参照してください。

プロファイル

SAML 2 プロトコルは、Spark プラットフォームがウェブブラウザ SSO プロファイルのみをサポートする多くのプロファイルをサポートします。 ウェブ ブラウザ SSO プロファイルでは、Spark プラットフォームは以下の義務をサポートします。

 
  • SP 初期化済み POST -> POST 義務 


     

  • SP 初期化済み REDIRECT -> POST 義務

      


 
      

NameID 形式

SAML 2 プロトコルは、特定のユーザーについての通信を目的として多くの NameID 形式をサポートします。 Cisco Collaboration Cloud プラットフォームは以下の NameID 形式をサポートします。

  
  • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
 

IdP から読み込んだメタデータにおいて、最初のエントリは Spark プラットフォーム内で設定されます。

SingleLogout

Cisco Collaboration Cloud は、シングルログアウトプロファイルをサポートします。 Cisco Spark または WebEx アプリにおいて、ユーザーはSAML シングルログアウトプロトコルを使用してセッションを終了し、IdP でのサインアウトを確認するアプリケーションのサインアウトができます。

Cisco Spark を Microsoft Azure で統合する

 

Cisco Spark サービスおよび Microsoft Azure を ID プロバイダとして (IdP) 使用する展開の間のシングルサインオン (SSO) 統合を設定するこの記事のタスクに従ってください。

    

この統合は、メッセージのユーザー、ミーティング、および通話を網羅します。 Cisco WebEx 向け SSO を有効化するには、別々の統合が必要です。

  
はじめる前に 
シングルサインオンおよび Cisco Spark サービスについては、IdPs は SAML 2.0 仕様を満たしていなければなりません。 加えて、IdPs は以下のように設定されている必要があります。
  • フォームベースの認証を使用するには、IdPを設定します。

     

  • NameID 形式属性を「;urn:oasis:names:tc:SAML:2.0:nameid-format:transient」に設定します。指定しない場合もサポートされます。

     

  • IdP 上の要求を設定して、SAML アサーションの以下の属性を含めます。

     

    • 「;uid」: ユーザーのメールアドレスにマッピングした値の属性名

       

     
     
  

Cisco Spark メタデータをお使いのローカルシステムにダウンロードする

        
1    完全な資格情報を使用して、Cisco Cloud Collaboration Management にサインインします。
2    設定を選択し、認証セクションから変更を選択します。
3    サードパーティの ID プロバイダを統合させるを選択します。 (高度) 次のスクリーンを開きます。
4    信頼するメタデータファイルをダウンロードし、お使いのローカルシステムの見つけやすい場所に保存します。  

Cisco Spark メタデータのファイル名は idb-meta-<org-ID>-SP.xmlです。

  
5    Cisco Cloud Collaboration Management セッションをブラウザタブで開いたままにします。後にそこに戻って IdP メタデータをアップデートするためです。

シングルサインオンアプリケーションの設定を Azure で設定する

はじめる前に 
  •  

    IdP 能力を Microsoft Azure で有効化するには、 Azure Active Directory プレミアムライセンスを入手してください。

      

  •  

    Azure Active directory を設定する

      

  •  

    ローカルユーザーを作成するか、オンプレミス アクティブディレクトリ システムと同期します。

      

  •  

    Cisco Cloud Collaboration Management からダウンロードした Cisco Spark メタデータファイル を開きます。

      

  
            
1    Azure AD アクセスパネルにサインインします。
2    組織に Azure Active Directory を選択します。
3    アプリケーション を開き、追加をクリックします。
4    ギャラリーからアプリケーションを追加するをクリックします。
5    検索ボックスに Cisco Spark と入力します。
6    結果のペインで Cisco Spark を選択し、完了をクリックしてアプリケーションを追加します。
7    シングルサインオンを設定する:
  1. アプリケーション合意を作成した後、設定タブを開いてシングルサインオンを設定するをクリックします。
  2. Microsoft Azure AD シングルサインオン を選び、矢印ボタンをクリックします。
  3. 高度なオプションのためのボックスをチェックします。
  4. Cisco Spark メタデータファイルから以下の値を入力し、矢印ボタンをクリックします。  
     
    •  

      サインオン URL

        

    •  

      標識

        

    •  

      返信 URL

        

      
      
    注意        
    •  

      標識は EntityDescriptor タグの entityID 属性の値を取ります。

        

    •  

      サインオンおよび返信 URL は AssertionConsumerServiceタグの場所属性の値を取ります。

        

      
      
  5. XML 形式の Azure メタデータをダウンロードし、矢印ボタンをクリックします。
  6. 確認ページでメールアドレスを入力して Microsoft Azure の構成に対する変更通知を受領します。
  7. [チェックマーク] ボタンをクリックします。
8    属性を変更する:
  1. Azure アクセスパネルの Cisco Spark アプリケーションページから属性をクリックします。
  2. nameidentifier を保存し、他の入力をすべて削除します。
  3. uid と呼ばれる新規ユーザー属性を user.mail の値で追加します。
9    ユーザーの指定:
  1. ユーザーおよびグループを開き、ドロップダウン メニューからすべてのユーザーを表示するを選択します。
  2. 指定するをクリックし、 Cisco Spark へのアクセスを許可したいユーザーを選択します。

IdP メタデータをインポートし、テスト後シングルサインオンを有効化する

 

Cisco Spark メタデータをエクスポートした後、IdP を設定して IdP メタデータをお使いのローカルシステムにダウンロードします。これでお使いの Cisco Spark 組織にインポートする準備ができました。

  
        
1    Cloud Collaboration Management – エクスポートディレクトリメタデータページにサインインしたブラウザまたはタブに戻り、 [次へ] をクリックします。
2    インポート Idp メタデータページ上で IdP メタデータファイルをこのページにドラッグアンドドロップするか、ファイルブラウザオプションを使用してメタデータファイルを見つけてアップロードします。

パブリック署名および信頼された証明書を使用するサービスプロバイダには、メタデータの証明機関が署名した証明書を必須とする (より安全) を使用することを推奨します。

3    [次へ] をクリックします。
4    SSO 接続をテストするを選択し、新しいブラウザタブが開いたとき、IdP でサインインすることで認証します。

認証エラーが発生する一般的な理由は、証明書の問題です。 ユーザー名とパスワードを確認して再度試してください。

Cisco Spark または Webex エラーは通常、 SSO セットアップのことを意味します。 この場合は、この手順、特に Cisco Spark メタデータを IdP セットアップにコピーおよび貼り付けを行った手順のウォークスルーを再度実施します。

5    Cisco Cloud Collaboration Management のブラウザタブに戻ります。
  • テストが成功した場合、このテストは成功しましたを選択してください。 シングルサインオンオプションを有効化し、[次へ] をクリックする。
  • テストが失敗した場合、このテストは失敗しましたを選択してください。 シングルサインオンオプションを無効化し、[次へ] をクリックする。
 

Attachments

    Outcomes